Gmailで電子署名S/MIMEを使いメールを暗号化したい(2016年版)

かつては平文がそのままネット上に流れ、のぞき見や改ざんされ放題?だった電子メール。最近では、途中経路の暗号化が進められています。とは言え、世界のすべてのメールサーバーが暗号化に対応しない限りは、end-to-end(出発点から到達点まで)で安全が担保されないので、こうしたリスクは依然として存在したままです。

広く普及しているGmailについては、ユーザーとGmailサーバー間は暗号化されています。しかし、送り先のメールアドレスが、暗号化に対応していない古いメールサーバーだと結局、漏えいポイントができてしまいます(これはGoogleの責任ではありませんが)。

そこで、「電子署名S/MIMEの技術を使って、本文そのものを暗号化できるようにする」というのがこの記事の狙いです。

WEBメールとS/MIMEは相性が悪い

さっそくがっかりな😞話ですが、S/MIMEとGmailなどのWEBメールはすこぶる相性が悪いです。S/MIMEは、メールアドレスを証明する「SSL証明書」の鍵をローカル環境に保存して使うことが前提となっています。ですから、S/MIMEが利用できるメーラーは、下にあげる通り、主にデスクトップやスマホなどにインストールして使うアプリが中心です。

S/MIME対応メーラの一例

  • iOSの標準メーラー(iPhone,iPadなど)
  • MacOSの標準メーラー
  • Outolook2013
  • Windowsメール など

(S/MIME自体は古くからある手法なので、対応メーラーはほかにもたくさんあります

ところで、「S/MIMEなんて知らないよ!」という方。銀行から送られてくる大事なメールに、鍵マークが表示されていたり、「smime.p7s」という添付ファイルが付いていたりした経験はありませんか?これが、S/MIMEで署名されたメールです。

送信元がはっきりしているので、フィッシングメールでないことが分かる仕組みです。S/MIMEに対応してないメーラは、署名データを「smime.p7s」という添付ファイルとして扱います。この添付ファイルを開いても署名の確認はできず、事実上WEBメールでS/MIMEは使えないケースがほとんどです。

Chromeプラグインを導入する

こうした相性の悪さを克服して、Chromeブラウザーの拡張機能として、GmailでS/MIMEを扱えるようにするものがいくつかあります。ただ、開発がストップしていて、今では動かないものがほとんどです。唯一、2016年に新しく登場した「Fossa Guard」というプラグインが、筆者が動作を確認できたプラグインです。

chrome plugin Fossa Guard

Chrome拡張機能で「S/MIME」を検索するとヒットする

Fossa Guardの仕組み

Fossa Guardのオフィシャルページによると、ブラウザ内の保存領域に証明書を置きます。これは、グーグルの同期技術によってほかのデバイスでChromeを開いても使えます。秘密鍵はさらに、自由に設定できるパスフレーズで守られていて、署名・暗号化のたびにこのパスフレーズを入力して使います。

fossaguard overview

FossaGuardの仕組み(公式ページより引用)

無料の証明書ですぐに始められる

Fossa Guardを使うのにユーザー登録は必要はありません。Googleのアカウントでサインインして、画面の指示に従えばすぐに電子メール用の証明書が無料で発行され、利用の準備が整います。(現在はベータ期間のため、証明書の期限は3か月と短めです)

Gmailの画面での使い方

まとめ

1 Comment

Fossa Team

Hi there!

Nice to know that you’ve tried FossaGuard extension.
We are working on next release with certificate revocation, re-enrollment – it will help to re-issue Fossa certificates.
We continue to keep Fossa S/MIME certificates free for personal use.

返信する

コメントを残す

メールアドレスが公開されることはありません。